Разработка документов по защите КИИ: подготовка ОРД под требования ФСТЭК

Законодательные требования к документации КИИ

Федеральный закон 187-ФЗ обязывает владельцев критической информационной инфраструктуры защищать государственные, оборонные, медицинские и транспортные системы. Безопасность начинается с подготовки нормативной базы. Регуляторы в лице ФСТЭК и ФСБ проверяют наличие регламентов, инструкций и актов в первую очередь. Отсутствие обязательных документов влечет штрафы до 300 тысяч рублей или уголовную ответственность при возникновении инцидентов.

Организационно-распорядительная документация (ОРД) подтверждает выполнение требований закона перед регуляторами и судом.

Руководитель организации несет персональную ответственность за классификацию систем. Формальный подход к документам создает ложное чувство безопасности. Если реальные процессы в ИТ-отделе расходятся с текстом регламента, инспекторы зафиксируют нарушение. Качественный пакет ОРД описывает архитектуру сети, права доступа и порядок реагирования на хакерские атаки.

Этап категорирования объектов КИИ

Процесс защиты стартует с работы комиссии. Генеральный директор назначает ответственных лиц из числа ИТ-специалистов, юристов и безопасников. Комиссия изучает бизнес-процессы и выявляет системы, сбой в которых нанесет ущерб экологии, экономике или жизни людей. Результаты этой работы вы фиксируете в акте категорирования. Постановление Правительства № 127 устанавливает четкие показатели значимости.

Вы обязаны предоставить сведения о результатах категорирования во ФСТЭК. Регулятор проверяет обоснованность выводов комиссии. Если вы не присвоили категорию значимому объекту, ФСТЭК вернет документы на доработку. Мы рекомендуем детально описывать технические параметры каждой системы для исключения претензий.

Обязательный перечень документов для субъектов КИИ

Полный комплект ОРД включает десятки позиций. Мы разделяем их на три смысловых блока: управление, проектирование и эксплуатация. Каждый документ должен соответствовать актуальным приказам ФСТЭК № 235 и № 239.

В основной пакет входят следующие позиции:

VFS CONSULTING Юридические решения для малого, среднего и крупного бизнеса в России и за рубежом

Консультация

+7 (495) 118 24 84

Задать вопрос эксперту

• Политика обеспечения безопасности КИИ. Определяет общие принципы и стратегию защиты данных в организации.
• Приказ о назначении ответственных. Закрепляет фамилии сотрудников, управляющих системой защиты.
• Акты категорирования. Содержат расчеты ущерба по социальным, политическим и финансовым критериям.
• Модель угроз безопасности информации. Перечисляет вероятные способы взлома и уязвимости ваших систем.
• Регламент управления инцидентами. Описывает шаги персонала при обнаружении компьютерной атаки.
• План мероприятий по обеспечению безопасности. Устанавливает сроки модернизации защиты и проведения аудитов.

Моделирование угроз и техническое проектирование

Для значимых объектов (ЗОКИИ) вы обязаны разработать модель угроз по методике ФСТЭК 2021 года. В документе вы описываете потенциальных нарушителей, их возможности и цели. Модель становится базой для выбора средств защиты: межсетевых экранов, систем обнаружения вторжений и средств криптографии. Без этого документа невозможно спроектировать эффективную систему безопасности.

Формальный подход к моделированию угроз превращает систему защиты в фикцию и гарантирует предписания от ФСТЭК при первой проверке.

Техническое проектирование фиксирует настройки оборудования. Вы описываете правила фильтрации трафика, политики паролей и способы резервного копирования. Инженеры используют эти документы как инструкции при настройке программного обеспечения. Регуляторы сопоставляют настройки серверов с записями в техпроекте во время выездных проверок.

Инструкции и взаимодействие с ГосСОПКА

Сотрудники должны знать свои обязанности. Инструкции администраторов запрещают использование личных накопителей и ограничивают удаленный доступ. Каждый работник подписывает лист ознакомления с ОРД. Это перекладывает часть ответственности за нарушения на непосредственных исполнителей. В случае утечки данных по вине сотрудника, подписанная инструкция станет доказательством в суде.

Алгоритм взаимодействия с НКЦКИ (ГосСОПКА) требует особого внимания. Вы обязаны информировать центр о компьютерных инцидентах в течение 24 часов для значимых объектов. Регламент взаимодействия определяет:

1. Порядок сбора данных о компьютерной атаке.
2. Способы передачи информации по защищенным каналам связи.
3. Сроки информирования руководства и государственных органов.
4. Методы ликвидации последствий взлома.

Типичные ошибки самостоятельной подготовки

Использование общедоступных шаблонов из интернета приводит к противоречиям. Часто организации забывают обновить документы после изменения сетевой топологии или замены серверов. ФСТЭК рассматривает несоответствие документации реальному положению дел как нарушение 187-ФЗ. Ошибки в расчетах при категорировании приводят к занижению категории значимости, что вызывает санкции со стороны прокуратуры.

Мы разрабатываем пакет документов КИИ под ключ. Наши эксперты анализируют вашу инфраструктуру, проводят интервью с техническими специалистами и готовят комплект ОРД, который проходит проверки ФСТЭК без замечаний. Вы получаете готовые к печати и подписанию акты, регламенты и модели угроз, адаптированные под ваши бизнес-процессы.